Cserealkatrészek is lophatnak adatokat a telefonokról

Nem csak a szoftvereknél kell vigyázni a nem hivatalos forrásokkal, ha biztonságban akarjuk tudni okostelefonunkat vagy táblagépünket: a Ben-Gurion Egyetem kutatói által az idei Usenix Workshop on Offensive Technologies konferencián bemutatott tanulmány szerint a külső beszállítóktól származó alkatrészek tartalmazhatnak olyan rosszindulatú hardverelemeket, amelyek titokban gyűjtögetik a felhasználók adatait.

A szakértők több eszközön is demonstrálták, hogy a módosított hardverkomponensekkel többek között észrevétlenül naplózhatók a készüléken végzett billentyűleütések, sőt, a feloldási minták is, de a módszer kártékony appok telepítésére és fényképek készítésére is lehetőséget ad, amelyeket aztán a készülék emailben továbbíthat is a támadóknak. A kutatók speciálisan átalakított kijelzőpanelekkel mutatták be a támadási felületet, egy Nexus 6P és egy LG G Pad 7.0 készüléken - ugyanakkor a szakértők szerint a megoldást iOS platformra is át lehet ültetni.

Az eljárást chip-in-the-middle támadásként is emlegetik, miután ahhoz az egyébként ártalmatlan érintőkijelzőt egy plusz lapkával egészítik ki, amely a hardver és a készülék operációs rendszere közötti kommunikációs busz adatátvitelt figyeli, illetve adott esetben a támadók kódjával toldja meg. Hogy feltűnésmentesen működhessen, a chip képes akár ideiglenesen lekapcsolni is a kijelzőpanelt. Egy hasonló támadás a kutatók szerint minimális költséggel kivitelezhető, a demonstrációnál használt plusz alkatrészekre például alig 10 dollárt költöttek - egész pontosan egy a barkácsolói közösségben is népszerű Arduino fejlesztői lapkát használtak, ATmega328 mikrokontrollerrel a fedélzetén. A megoldás ugyanakkor más hasonló, általános célú chipekkel is végrehajtható, a kártékony alkatrészek pedig könnyen sorozatgyártásba állíthatók.

Nagy pénz, nagy szívás: útravaló csúcstámadó IT-soknak Az informatikai vezetősködés sokak álma, de az árnyoldalaival kevesen vannak tisztában.

Noha élesben működő, hasonló támadásról egyelőre nem beszéltek a biztonsági szakértők, hangsúlyozzák, hogy a gyártóknak nagyon is komolyan kell venni az unortodox támadási vektor jelentette kockázatokat, miután egyszerűen és olcsón megvalósítható módszerről van szó. A módosított komponensek ráadásul alig különböznek az eredeti, gyári alkatrészektől, így még a szervizekben dolgozó technikusoknak sem biztos hogy feltűnne, hogy valami nem stimmel az éppen javított telefonba helyezett kijelzővel. A megoldás akár nagyüzemi szinten, akár egy-egy kiszemelt célpont ellen is hatékony lehet.

Egy hasonló támadást az tesz lehetővé, hogy az Apple, Google, illetve a gyártók az operációs rendszerekhez tartozó driverekért házon belül felelnek, miután azok nem külső féltől származnak, lényegében, ahogy az Ars Technica fogalmaz, egy "bizalmi körben" vannak. De ugyanez a helyzet a gyárilag beépített hardverekkel is, amelyeket a cégek alapvetően megbízhatónak tartanak - ez a biztonság azonban rögtön szertefoszlik, ha harmadik féltől származó komponensek kerülnek a telefonokba.

Ennek megfelelően, ahogy azt a szakértők is hangsúlyozzák, a gyártóknak hasonló támadásokra is fel kell készülniük és a potenciálisan kártékony (tehát nem a gyárban beszerelt) hardverek jelentette veszélyt is figyelembe kell venniük a készülékek védvonalainak megtervezésénél. A hasonló kockázatok persze jórészt elkerülhetők ha az ember a gyártói szervizre hagyatkozik probléma esetén, amely saját, megbízható forrásaiból szerzi be a komponenseket, ugyanakkor a már nem garanciális telefonok esetén a felhasználók sokszor fordulnak kétes GSM boltokhoz is, akik jellemzően jóval olcsóbb, utángyártott alkatrészeket kínálnak, akár számottevően kisebb munkadíj mellett.